Azure Arcによって有効にされたSQL Serverのマネージド ID とMicrosoft Entra認証を設定する

適用対象： SQL Server 2025 (17.x)

SQL Server 2022
SQL Server 2025
Azure SQL Database&Azure SQL Managed Instance
Azure VM 上の SQL Server

この記事では、Azure Arcによって有効にされたSQL Serverのマネージド ID Microsoft Entra ID設定および構成する手順について説明します。

SQL Serverを使用したマネージド ID の概要については、Azure Arc で有効になっているSQL Serverの管理 ID に関するページを参照してください。

[前提条件]

Azure Arcによって有効になっているSQL Serverでマネージド ID を使用する前に、次の前提条件を満たしていることを確認してください。

SQL Server 2025 以降でサポートされ、Windowsで実行されます。
SQL Serverを Azure Arc。
Azure Extension for SQL Server の最新バージョン。

プライマリマネージド ID を有効にする

SQL ServerのAzure拡張機能をサーバーにインストールした場合は、Azure ポータルから直接、SQL Server インスタンスのプライマリマネージド ID を有効にすることができます。レジストリを更新してプライマリマネージド ID を手動で有効にすることもできますが、細心の注意を払って行う必要があります。

Azure Portal
手動

Azure ポータルでプライマリマネージド ID を有効にするには、次の手順に従います。

Azure ポータルで Azure Arc によって有効化された SQL Server リソースに移動します。
Settings で、Microsoft Entra ID と Purview を選択して、Microsoft Entra ID および Purview ページを開きます。

注

Enable Microsoft Entra ID authentication オプションが表示されない場合は、SQL Server インスタンスがAzure Arcに接続されていること、および最新の SQL 拡張機能がインストールされていることを確認します。
Microsoft Entra ID と Purview ページで、プライマリマネージド ID を使用の横にあるチェックボックスをオンにして、Save を使用して構成を適用します。

レジストリを更新することで、SQL Server インスタンスのプライマリマネージド ID を手動で有効にすることはできますが、細心の注意を払って行う必要があります。

Tokens フォルダーにアクセス許可を付与する

SQL Server 2025 インスタンスのサービスアカウントに、フォルダーへのオペレーティングシステムの「読み取り & 実行」アクセス許可を付与します。既定では、サービスアカウントは NT Service\MSSQLSERVER、または名前付きインスタンスの場合は NT Service\MSSQL$<instancename>。

[トークン] フォルダーの [セキュリティプロパティ] タブのスクリーンショット。

AzureConnectedMachineAgent フォルダーの前に、Tokens フォルダーのSQL Server サービスアカウントの管理者アクセス許可を付与することが必要になる場合があります。

AzureConnectedMachineAgent フォルダーの [セキュリティのプロパティ] タブのスクリーンショット。

SQL Server サービスアカウントをハイブリッドエージェント拡張機能アプリケーショングループに追加する

SQL Server サービスアカウント (既定値: NT Service\MSSQLSERVER、または名前付きインスタンスの場合は NT Service\MSSQL$instancename) を Hybrid エージェント拡張アプリケーション グループに追加します。

Windows Computer Management を開きます。
[ローカルユーザーとグループ] に移動し、[グループ] を選択します。
SQL Server サービスアカウントを Hybrid エージェント拡張機能アプリケーション グループに追加します。

ハイブリッドエージェント拡張機能アプリケーショングループを示すコンピューター管理のスクリーンショット。

ハイブリッドエージェント拡張機能アプリケーショングループのプロパティのスクリーンショット。

レジストリを更新する

Warnung

レジストリを誤って編集すると、システムが深刻な損傷を受ける可能性があります。レジストリを変更する前に、コンピューター上の重要なデータをすべてバックアップすることをお勧めします。

レジストリで、\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17を更新します。MSSQLSERVER\MSSQLServer\FederatedAuthentication サブキー。

次のエントリを作成します。

エントリ	価値
`ArcServerManagedIdentityClientId`	空 (値なし)
`HIMDSApiVersion`	`2020-06-01`
`HIMDSEndpoint`	`http://localhost:40342/metadata/identity/oauth2/token`
`ArcServerSystemAssignedManagedIdentityTenantId`	`Arc-AAD-Tenant-ID`
`ArcServerSystemAssignedManagedIdentityClientId`	`Arc-Machine-Client-Id`
`PrimaryAADTenant`	`Arc-AAD-Tenant-ID`
`AADChannelMaxBufferedMessageSize`	`200000`
`AADGraphEndPoint`	`graph.windows.net`
`AADGroupLookupMaxRetryAttempts`	`10`
`AADGroupLookupMaxRetryDuration`	`30000`
`AADGroupLookupRetryInitialBackoff`	`100`
`AADServerAdminSid`	`00000000-0000-0000-0000-000000000000`
`AuthenticationEndpoint`	`login.microsoftonline.com`
`CacheMaxSize`	`300`
`ClientCertBlackList`	空 (値なし)
`FederationMetadataEndpoint`	`login.windows.net`
`GraphAPIEndpoint`	`graph.windows.net`
`IssuerURL`	`https://sts.windows.net/`
`OnBehalfOfAuthority`	`https://login.windows.net/`
`STSURL`	`https://login.windows.net/`
`MsGraphEndPoint`	`graph.microsoft.com`
`SendX5c`	`false`
`ServicePrincipalName`	`https://database.windows.net/`
`ServicePrincipalNameForArcadia`	`https://sql.azuresynapse.net`
`ServicePrincipalNameForArcadiaDogfood`	`https://sql.azuresynapse-dogfood.net`
`ServicePrincipalNameNoSlash`	`https://database.windows.net`
`AADBecWSConnectionPoolMaxSize`	`500`

レジストリのバックアップと編集

次のセクションでは、レジストリエディターを使用してレジストリをバックアップおよび編集する方法について説明します。

レジストリエディターを開きます

Windows キーを押しながら R を押して、[実行] ダイアログボックスを開きます。
「regedit」と入力して Enter キーを押します。
ユーザーアカウント制御のプロンプトが表示されたら、[ はい] を選択します。

レジストリキーをバックアップする

この手順では、変更を加える前にレジストリをバックアップします。後で変更によって問題が発生した場合は、このファイルをレジストリにインポートし直すことができます。

メニューから [ファイル] を選択します。
エクスポートを選択します。
[レジストリファイルのエクスポート] ダイアログボックスで、バックアップを保存する場所を選択します。
[ファイル名] フィールドにバックアップファイルの名前を入力します。
[エクスポート] 範囲で [ すべて ] が選択されていることを確認します。
保存を選択します。

エントリを追加する

この手順では、レジストリエディターを使用してレジストリにエントリを追加します。

次のサブキーに移動します:\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL17。MSSQLSERVER\MSSQLServer\FederatedAuthentication。
FederatedAuthentication を右クリックし、[文字列値] を選択します。
レジストリの更新に関するページに記載されているエントリごとに繰り返します

このイメージは、正しく構成されたレジストリを示しています。

レジストリキーを復元する (必要な場合)

以前のレジストリ設定に復元する必要がある場合は、次の手順に従います。

前に説明したように、レジストリエディターを開きます。
メニューから [ファイル] を選択します。
インポート を選択します。
保存したバックアップファイルの場所に移動します。
バックアップファイルを選択し、[ 開く] を選択します。

詳細については、 .reg ファイルを使用してレジストリサブキーと値を追加、変更、または削除する方法を確認してください。

ID にアプリケーションのアクセス許可を付与する

Important

これらのアクセス許可を付与できるのは、特権ロール管理者以上のロールだけです。

SQL Server インスタンスに対して Microsoft Entra 認証を有効にするには、システム割り当てマネージド ID ごとに、Microsoft Graph をクエリするための User.Read.All、GroupMember.Read.All、および Application.Read.All アクセス許可が必要です。これらのアクセス許可の詳細については、以下を参照してください。

User.Read.All: Microsoft Entraユーザー情報へのアクセスを許可します。
GroupMember.Read.All: グループ情報へのアクセスMicrosoft Entra許可します。
Application.Read.All: Microsoft Entraサービスプリンシパル (アプリケーション) 情報へのアクセスを許可します。

これらのアクセス許可はアプリケーションレベルのアクセス許可 (アプリロール) であり、各マネージド ID に直接割り当てる必要があります。 Microsoft Entra セキュリティグループに手動で割り当て、グループメンバーシップを使用してメンバーに付与することはできません。コンピューターが多数ある環境では、Directory Readers ロールを role-assignable Microsoft Entra セキュリティグループに割り当て、マネージド ID をメンバーとして追加することもできます。アプリロールのアクセス許可とは異なり、このMicrosoft Entra ロールはグループレベルで付与できるため、大規模な管理が簡素化されます。ただし、Directory Reader は、すべてのディレクトリオブジェクトに対して広範な読み取りアクセス権を付与し、対象となる 3 つのGraph APIアクセス許可を大幅に超えています。最小特権アクセスが必要な運用環境では、 ディレクトリ閲覧者 ロールは推奨されません。

次の PowerShell スクリプトは、マネージド ID に必要なアクセス許可を付与します。このスクリプトが PowerShell 7.5 以降のバージョンで実行され、Microsoft.Graph モジュール 2.28 以降がインストールされていることを確認します。

# Set your Azure tenant and managed identity name
$tenantID = '<Enter-Your-Azure-Tenant-Id>'
$managedIdentityName = '<Enter-Your-Arc-HostMachine-Name>'

# Connect to Microsoft Graph
try {
    Connect-MgGraph -TenantId $tenantID -ErrorAction Stop
    Write-Output "Connected to Microsoft Graph successfully."
}
catch {
    Write-Error "Failed to connect to Microsoft Graph: $_"
    return
}

# Get Microsoft Graph service principal
$graphAppId = '00000003-0000-0000-c000-000000000000'
$graphSP = Get-MgServicePrincipal -Filter "appId eq '$graphAppId'"
if (-not $graphSP) {
    Write-Error "Microsoft Graph service principal not found."
    return
}

# Get the managed identity service principal
$managedIdentity = Get-MgServicePrincipal -Filter "displayName eq '$managedIdentityName'"
if (-not $managedIdentity) {
    Write-Error "Managed identity '$managedIdentityName' not found."
    return
}

# Define roles to assign
$requiredRoles = @(
    "User.Read.All",
    "GroupMember.Read.All",
    "Application.Read.All"
)

# Assign roles using scoped syntax
foreach ($roleValue in $requiredRoles) {
    $appRole = $graphSP.AppRoles | Where-Object {
        $_.Value -eq $roleValue -and $_.AllowedMemberTypes -contains "Application"
    }

    if ($appRole) {
        try {
            New-MgServicePrincipalAppRoleAssignment   -ServicePrincipalId $managedIdentity.Id `
                -PrincipalId $managedIdentity.Id `
                -ResourceId $graphSP.Id `
                -AppRoleId $appRole.Id `
                -ErrorAction Stop

            Write-Output "Successfully assigned role '$roleValue' to '$managedIdentityName'."
        }
        catch {
            Write-Warning "Failed to assign role '$roleValue': $_"
        }
    }
    else {
        Write-Warning "Role '$roleValue' not found in Microsoft Graph AppRoles."
    }
}

ログインとユーザーを作成する

Microsoft Entra チュートリアルの手順に従って、マネージド ID のログインとユーザーを作成します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-17

次の方法で共有

Azure Arcによって有効にされたSQL Serverのマネージド ID とMicrosoft Entra認証を設定する

[前提条件]

プライマリ マネージド ID を有効にする

ID にアプリケーションのアクセス許可を付与する

ログインとユーザーを作成する

関連コンテンツ

フィードバック

その他のリソース

プライマリマネージド ID を有効にする